配置和验证 macOS 上的 Microsoft Defender for Endpoint 的排除项

项目
06/15/2024

适用于：

希望体验 Defender for Endpoint？注册免费试用版。

本文介绍如何定义适用于按需扫描的排除项，以及实时保护和监视。

重要

本文中所述的排除项不适用于 Mac 上的其他 Defender for Endpoint 功能，包括 EDR) (终结点检测和响应。使用本文中所述的方法排除的文件仍可以触发 EDR 警报和其他检测。

可以从 Mac 上的 Defender for Endpoint 扫描中排除某些文件、文件夹、进程和进程打开的文件。

排除项可用于避免对组织唯一或自定义的文件或软件进行错误检测。它们还可用于缓解 Mac 上的 Defender for Endpoint 导致的性能问题。

若要缩小需要排除的进程和/或路径和/或扩展的范围，请使用实时保护-统计信息。

警告

定义排除项会降低 Mac 上的 Defender for Endpoint 提供的保护。应始终评估与实施排除项相关的风险，并且只应排除你确信不是恶意的文件。

支持的排除类型

下表显示了 Mac 上的 Defender for Endpoint 支持的排除类型。

排除	定义	示例
文件扩展名	具有扩展名的所有文件，位于计算机上的任意位置	`.test`
文件	由完整路径标识的特定文件	`/var/log/test.log` `/var/log/*.log` `/var/log/install.?.log`
Folder	指定文件夹下的所有文件 (递归)	`/var/log/` `/var/*/`
流程	特定进程 (由) 的完整路径或文件名指定，以及它打开的所有文件	`/bin/cat` `cat` `c?t`

文件、文件夹和进程排除项支持以下通配符：

通配符说明示例

匹配任意数量的任意字符，包括无 (请注意，如果路径末尾未使用此通配符，则只替换一个文件夹)

通配符	说明	示例
*	匹配任意数量的任意字符，包括无 (请注意，如果路径末尾未使用此通配符，则只替换一个文件夹)	`/var//tmp` 包括中的任何 `/var/abc/tmp` 文件及其子目录，以及 `/var/def/tmp` 及其子目录。它不包括 `/var/abc/log` 或 `/var/def/log` `/var//` 包括中 `/var` 及其子目录中的任何文件。
?	匹配任何单个字符	`file?.log` 包括 `file1.log` 和 `file2.log`，但不包括 `file123.log`

/var/*/tmp 包括中的任何 /var/abc/tmp 文件及其子目录，以及 /var/def/tmp 及其子目录。它不包括 /var/abc/log 或 /var/def/log

/var/*/ 包括中 /var 及其子目录中的任何文件。

? 匹配任何单个字符 file?.log 包括 file1.log 和 file2.log，但不包括 file123.log

注意

在路径末尾使用 * 通配符时，它将匹配通配符的父级下的所有文件和子目录。

产品在评估排除项时尝试解析公司链接。如果排除项包含通配符或卷上 Data 的目标文件 (不存在) ，则 Firmlink 解析不起作用。

为 macOS 上的 Microsoft Defender for Endpoint 添加反恶意软件排除的最佳做法。

记下为何将排除项添加到只有 SecOps 和/或安全管理员有权访问的中心位置。例如，列出提交者、日期、应用名称、原因和排除信息。
确保有排除项的到期日期*

*除了 ISV 指出无法执行其他调整来防止出现误报或更高的 CPU 使用率的应用。
避免迁移非Microsoft反恶意软件排除，因为它们可能不再适用于 macOS 上的 Microsoft Defender for Endpoint。
考虑最高 (更安全) 到最底层 (最不安全) 的排除项的顺序：
1. 指示器 - 证书 - 允许
  1. 添加扩展验证 (EV) 代码签名。
2. 指示器 - 文件哈希 - 允许
  1. 例如，如果进程或守护程序不经常更改，则应用没有每月安全更新。
3. 路径 & 进程
4. 流程
5. Path
6. 扩展名

如何配置排除项列表

使用 Microsoft Defender for Endpoint 安全设置管理控制台

登录到 Microsoft Defender 门户。
转到 配置管理>终结点安全策略>创建新策略。
- 选择“平台：macOS”
- 选择模板：Microsoft Defender 防病毒排除项
选择“创建策略”。
输入名称和说明，然后选择“ 下一步”。
展开 “防病毒引擎”，然后选择“ 添加”。
选择“路径”或“文件扩展名”或“文件名”。
选择“ 配置实例 ”，并根据需要添加排除项。然后选择“下一步”。
将排除项分配给组，然后选择“ 下一步”。
选择“保存”。

从管理控制台

有关如何从 JAMF、Intune 或其他管理控制台配置排除项的详细信息，请参阅在 Mac 上设置 Defender for Endpoint 的首选项。

从用户界面

打开 Defender for Endpoint 应用程序并导航到 “管理设置>添加或删除排除项...”，如以下屏幕截图所示：
选择要添加的排除类型，并按照提示操作。

使用 EICAR 测试文件验证排除列表

可以使用下载测试文件来验证排除列表是否正常工作 curl 。

在以下 Bash 代码片段中，将替换为 test.txt 符合排除规则的文件。例如，如果已排除扩展 .testing ，请将替换为 test.txttest.testing。如果要测试某个路径，请确保在该路径中运行命令。

curl -o test.txt https://secure.eicar.org/eicar.com.txt

如果 Mac 上的 Defender for Endpoint 报告恶意软件，则规则不起作用。如果没有恶意软件报告，并且下载的文件存在，则排除项有效。可以打开该文件以确认内容与 EICAR 测试文件网站上所述的内容相同。

如果没有 Internet 访问权限，可以创建自己的 EICAR 测试文件。使用以下 Bash 命令将 EICAR 字符串写入新的文本文件：

echo 'X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*' > test.txt

还可以将字符串复制到空白文本文件中，并尝试使用文件名或尝试排除的文件夹中保存该字符串。

允许威胁

除了从扫描中排除某些内容之外，还可以将产品配置为不检测 (威胁名称) 标识的某些类别的威胁。使用此功能时应小心谨慎，因为它可能会使设备不受保护。

若要向允许列表添加威胁名称，请执行以下命令：

mdatp threat allowed add --name [threat-name]

可以使用以下命令获取与设备上的检测关联的威胁名称：

mdatp threat list

例如，若要将 (与 EICAR 检测关联的威胁名称) 添加到 EICAR-Test-File (not a virus) 允许列表，请执行以下命令：

mdatp threat allowed add --name "EICAR-Test-File (not a virus)"

提示

想要了解更多信息？在技术社区中与 Microsoft 安全社区互动： Microsoft Defender for Endpoint 技术社区。

通过